|
|||||||
|
|
|
 |
|
|
Strumenti |
27-02-2017, 12:49
|
#1 | |||
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22121
|
[NEWS] Cassandra Crossing/ Difendiamo la SPID3
lunedì 27 febbraio 2017
Roma - Come i 24 lettori ricorderanno, avendo già subito in questa rubrica ben 5 esternazioni a riguardo, secondo Cassandra solo la SPID2 con token hardware e la SPID 3 con token crittografico avrebbero diritto di esistere. Perché? Perché la società dell'informazione richiede una cultura e una pratica della sicurezza; e un'infrastruttura nazionale collegata alla sicurezza informatica di tutti non può avere niente di meno che una sicurezza a due fattori (qualcosa che sai, più qualcosa che hai). La regolamentazione della SPID, analogamente a quella ormai collaudatissima della Firma Digitale, prevede che gli operatori che la implementeranno e che forniranno il servizio siano aziende, qualificate da AGID e operanti in regime di libero mercato e concorrenza. L'equilibrio tra interesse pubblico e interessi privati, quando funziona, è un'ottima cosa, ma per essere instaurato e mantenuto richiede una continua attenzione e una cura amorevole. Infatti si potrebbe andreottianamente pensare che l'attuale assenza di un'offerta SPID2 con token OTP fisico e di SPID3 sia causata dal fatto che realizzarle in regime di gratuità non sia sostenibile a livello di business. Probabilmente è vero. Il risultato però è che il massimo di sicurezza che si può ottenere oggi come SPID è la SPID2 con token software.Cassandra, il NIST e tanti altri (non in ordine di autorevolezza) hanno già dimostrato come questa soluzione non sia sufficientemente sicura. Uno smartphone con un'app è un oggetto troppo complesso per poter essere sicuro. Ma quando ci sarà la SPID3 i patiti del token hardware saranno soddisfatti? Non è detto, e spiegare il perché sarà un po' pesante. I 24 lettori sono avvertiti... AGID ha creato nel 2015 un gruppo di lavoro allo scopo di definire uno standard UNINFO per i requisiti di sicurezza che un Identity Provider SPID deve soddisfare per essere accreditato. Attualmente l'adeguatezza dell'Identity Provider è infatti lasciata alla discrezionalità della valutazione e degli audit di AGID. Questo documento che definirà lo standard, di cui si è discusso durante l'edizione XIX di e-privacy, è adesso in votazione nell'organo tecnico UNI/CT 510/GL 02 ed è intitolato "E14.J1.G62.0 Sicurezza delle informazioni Verifica dei livelli di garanzia dell'autenticazione informatica Valutazione della conformità ai Livelli di garanzia 2, 3 e 4 della norma UNI CEI ISO/IEC 29115". Fonte: Punto Informatico
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|||
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 11:47.
